មាតិកា លាក់
1 មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់ CISCO Elephant Flow Detection
2 អំពីការរកឃើញលំហូរដំរី និងដំណោះស្រាយ
3 Elephant Flow Upgrade ពីកម្មវិធីឆ្លាតវៃ Bypass
4 កំណត់រចនាសម្ព័ន្ធលំហូរដំរី
5 ឯកសារ/ធនធាន
5.1 ឯកសារយោង

មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់ CISCO Elephant Flow Detection

CISCO Elephant Flow Detection

 

លំហូរដំរីមានទំហំធំខ្លាំង (គិតជាបៃសរុប) លំហូរបន្តដែលបង្កើតឡើងដោយ TCP (ឬពិធីការផ្សេងទៀត) ដែលត្រូវបានវាស់វែងតាមតំណបណ្តាញ។ តាមលំនាំដើម លំហូរដំរីគឺធំជាង 1 GB/10 វិនាទី។ ពួកវាអាចបណ្តាលឱ្យមានភាពតានតឹងនៅក្នុង Snort cores ។ លំហូរដំរីមិនមានច្រើនទេ ប៉ុន្តែពួកគេអាចកាន់កាប់ចំណែកមិនសមាមាត្រនៃកម្រិតបញ្ជូនសរុបក្នុងរយៈពេលមួយ។ ពួកគេអាចនាំឱ្យមានបញ្ហាដូចជាការប្រើប្រាស់ស៊ីភីយូខ្ពស់ ការធ្លាក់កញ្ចប់ព័ត៌មានជាដើម។

ចាប់ពីមជ្ឈមណ្ឌលគ្រប់គ្រង 7.2.0 តទៅ (ឧបករណ៍ Snort 3 តែប៉ុណ្ណោះ) អ្នកអាចប្រើលក្ខណៈពិសេសលំហូរដំរី ដើម្បីស្វែងរក និងជួសជុលលំហូរដំរី ដែលជួយកាត់បន្ថយភាពតានតឹងនៃប្រព័ន្ធ និងដោះស្រាយបញ្ហាដែលបានរៀបរាប់។

  • អំពី​ការ​រក​ឃើញ​លំហូរ​ដំរី និង​ការ​ដោះស្រាយ​នៅ​ទំព័រ 1
  • Elephant Flow Upgrade ពី Intelligent Application Bypass នៅទំព័រ 1
  • កំណត់រចនាសម្ព័ន្ធ Elephant Flow នៅទំព័រ 2

 

អំពីការរកឃើញលំហូរដំរី និងដំណោះស្រាយ

អ្នក​អាច​ប្រើ​មុខងារ​រាវរក​លំហូរ​ដំរី​ដើម្បី​រក​ឃើញ និង​ជួសជុល​លំហូរ​ដំរី។ វិធានការដោះស្រាយខាងក្រោមអាចត្រូវបានអនុវត្ត៖

  • ឆ្លងកាត់លំហូរដំរី- អ្នកអាចកំណត់រចនាសម្ព័ន្ធលំហូរដំរីដើម្បីឆ្លងកាត់ការត្រួតពិនិត្យ Snort ។ ប្រសិនបើវាត្រូវបានកំណត់រចនាសម្ព័ន្ធ Snort មិនទទួលបានកញ្ចប់ព័ត៌មានណាមួយពីលំហូរនោះទេ។
  • លំហូរដំរី-អ្នកអាចអនុវត្តដែនកំណត់អត្រាចំពោះលំហូរ ហើយបន្តពិនិត្យមើលលំហូរ។ អត្រាលំហូរត្រូវបានគណនាថាមវន្ត ហើយ 10% នៃអត្រាលំហូរត្រូវបានកាត់បន្ថយ។ Snort ផ្ញើសាលក្រម (លំហូរ QoS ជាមួយនឹងអត្រាលំហូរតិចជាង 10%) ទៅម៉ាស៊ីនជញ្ជាំងភ្លើង។ ប្រសិនបើអ្នកជ្រើសរើសរំលងកម្មវិធីទាំងអស់ រួមទាំងកម្មវិធីដែលមិនស្គាល់អត្តសញ្ញាណ អ្នកមិនអាចកំណត់រចនាសម្ព័ន្ធសកម្មភាពបិទបើក (អត្រាកំណត់) សម្រាប់លំហូរណាមួយឡើយ។

ចំណាំ ដើម្បីឱ្យការរាវរកលំហូរដំរីដំណើរការ Snort 3 ត្រូវតែជាម៉ាស៊ីនរាវរក។

 

Elephant Flow Upgrade ពីកម្មវិធីឆ្លាតវៃ Bypass

Intelligent Application Bypass (IAB) ត្រូវបានបដិសេធពីកំណែ 7.2.0 តទៅសម្រាប់ឧបករណ៍ Snort 3។
សម្រាប់ឧបករណ៍ដែលដំណើរការ 7.2.0 ឬខ្ពស់ជាងនេះ អ្នកត្រូវតែកំណត់ការកំណត់លំហូរដំរីនៅក្រោមផ្នែកការកំណត់លំហូរដំរីនៅក្នុងគោលការណ៍ AC (ផ្ទាំងការកំណត់កម្រិតខ្ពស់)។

ក្រោយការអាប់ដេតទៅ 7.2.0 (ឬក្រោយ) ប្រសិនបើអ្នកកំពុងប្រើឧបករណ៍ Snort 3 ការកំណត់ការកំណត់រចនាសម្ព័ន្ធលំហូរដំរីនឹងត្រូវបានជ្រើសរើស និងដាក់ឱ្យប្រើប្រាស់ពីផ្នែកការកំណត់លំហូរដំរី និងមិនមែនមកពីផ្នែកការកំណត់ផ្លូវឆ្លងកាត់កម្មវិធីឆ្លាតវៃទេ ដូច្នេះប្រសិនបើអ្នក មិនបានផ្លាស់ប្តូរទៅការកំណត់រចនាសម្ព័ន្ធលំហូរដំរីទេ ឧបករណ៍របស់អ្នកនឹងបាត់បង់ការកំណត់រចនាសម្ព័ន្ធលំហូរដំរីនៅពេលដាក់ឱ្យប្រើប្រាស់លើកក្រោយ។

តារាងខាងក្រោមបង្ហាញពីការកំណត់រចនាសម្ព័ន្ធលំហូររបស់ IAB ឬដំរីដែលអាចត្រូវបានអនុវត្តចំពោះកំណែ 7.2.0 ឬក្រោយ និងកំណែ 7.1.0 ឬមុននេះដែលកំពុងដំណើរការម៉ាស៊ីន Snort 3 ឬ Snort 2 ។

FIG 1 Elephant Flow Upgrade ពី Intelligent Application Bypass.JPG

 

កំណត់រចនាសម្ព័ន្ធលំហូរដំរី

អ្នកអាចកំណត់រចនាសម្ព័ន្ធលំហូរដំរី ដើម្បីធ្វើសកម្មភាពលើលំហូរដំរី ដែលជួយដោះស្រាយបញ្ហាដូចជា ភាពធន់របស់ប្រព័ន្ធ ការប្រើប្រាស់ស៊ីភីយូខ្ពស់ ការទម្លាក់កញ្ចប់ព័ត៌មានជាដើម។

រូបតំណាងប្រុងប្រយ័ត្ន  ការយកចិត្តទុកដាក់៖ ការរកឃើញលំហូរដំរីមិនអាចអនុវត្តបានសម្រាប់លំហូរដែលបានច្រោះជាមុន ជឿទុកចិត្ត ឬបញ្ជូនបន្តលឿន ដែលមិនដំណើរការតាមរយៈ Snort ទេ។ នៅពេលដែលលំហូរដំរីត្រូវបានរកឃើញដោយ Snort ការរកឃើញលំហូរដំរីមិនអាចអនុវត្តបានសម្រាប់ចរាចរណ៍ដែលបានអ៊ិនគ្រីបទេ។

នីតិវិធី

ជំហានទី 1

រូបភាពទី 2 នីតិវិធី

រូបភាពទី 1៖ កំណត់រចនាសម្ព័ន្ធការរកឃើញលំហូរដំរី

FIG 3 កំណត់រចនាសម្ព័ន្ធ Elephant Flow Detection.jpg

ជំហានទី 2 ប៊ូតុងបិទបើកការរកឃើញលំហូរដំរីត្រូវបានបើកតាមលំនាំដើម។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធតម្លៃសម្រាប់លំហូរលំហូរ និងរយៈពេលលំហូរ។ នៅពេលដែលពួកវាលើសពីតម្លៃដែលបានកំណត់រចនាសម្ព័ន្ធរបស់អ្នក ព្រឹត្តិការណ៍លំហូរដំរីត្រូវបានបង្កើត។
ជំហានទី 3 ដើម្បីជួសជុលលំហូរដំរី សូមបើកប៊ូតុងបិទបើកការដោះស្រាយលំហូរដំរី។
ជំហានទី 4 ដើម្បីកំណត់លក្ខណៈវិនិច្ឆ័យសម្រាប់ការជួសជុលលំហូរដំរី កំណត់រចនាសម្ព័ន្ធតម្លៃសម្រាប់ការប្រើប្រាស់ CPU % រយៈពេលនៃបង្អួចពេលវេលាថេរ និងការធ្លាក់ចុះកញ្ចប់ % ។
ជំហានទី 5 អ្នកអាចអនុវត្តសកម្មភាពខាងក្រោមសម្រាប់ការជួសជុលលំហូរដំរី នៅពេលដែលវាបំពេញតាមលក្ខណៈវិនិច្ឆ័យដែលបានកំណត់រចនាសម្ព័ន្ធ៖
ក. ឆ្លងកាត់លំហូរ- បើកប៊ូតុងនេះដើម្បីឆ្លងកាត់ការត្រួតពិនិត្យ Snort សម្រាប់កម្មវិធី ឬតម្រងដែលបានជ្រើសរើស។ ជ្រើស​ពី:
• កម្មវិធីទាំងអស់រួមទាំងកម្មវិធីដែលមិនស្គាល់អត្តសញ្ញាណ—ជ្រើសរើសជម្រើសនេះដើម្បីឆ្លងកាត់ចរាចរណ៍កម្មវិធីទាំងអស់។ ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធជម្រើសនេះ អ្នកមិនអាចកំណត់រចនាសម្ព័ន្ធសកម្មភាពបិទបើក (អត្រាកំណត់) សម្រាប់លំហូរណាមួយឡើយ។
• ជ្រើសរើសកម្មវិធី/តម្រង—ជ្រើសរើសជម្រើសនេះ ដើម្បីជ្រើសរើសកម្មវិធី ឬតម្រងដែលអ្នកចង់ឆ្លងកាត់។ សូមមើលការកំណត់លក្ខខណ្ឌកម្មវិធី និងតម្រង។
ខ. បិទលំហូរ - បើកប៊ូតុងនេះដើម្បីអនុវត្តដែនកំណត់អត្រាទៅលំហូរ ហើយបន្តពិនិត្យមើលលំហូរ។ ចំណាំថាអ្នកអាចជ្រើសរើសកម្មវិធី ឬតម្រងដើម្បីឆ្លងកាត់ការត្រួតពិនិត្យ Snort និងបិទលំហូរដែលនៅសល់។

ចំណាំ

ការដករន្ធបិទបើកដោយស្វ័យប្រវត្តិពីលំហូរដំរីដែលបិទបើកកើតឡើងនៅពេលដែលប្រព័ន្ធនេះអស់កំលាំង ពោលគឺ percentage នៃការធ្លាក់ចុះកញ្ចប់ព័ត៌មាន Snort គឺតិចជាងកម្រិតកំណត់ដែលបានកំណត់របស់អ្នក។ អាស្រ័យហេតុនេះ ការកំណត់អត្រាការប្រាក់ក៏ត្រូវបានដកចេញផងដែរ។
អ្នកក៏អាចដកការបិទបើកដោយដៃពីលំហូរដំរីដែលបិទបើកដោយប្រើពាក្យបញ្ជាការពារការគំរាមកំហែងខាងក្រោម៖
• ជម្រះ efd-throttle <5-tuple/all> ផ្លូវវាង—ពាក្យបញ្ជានេះដកការបិទបើកចេញពីលំហូរដំរីដែលបិទបើក និងឆ្លងកាត់ការត្រួតពិនិត្យ Snort ។
• ជម្រះ efd-throttle <5-tuple/all>—ពាក្យបញ្ជានេះដកការបិទបើកចេញពីលំហូរដំរីដែលបិទបើក ហើយការត្រួតពិនិត្យ Snort នៅតែបន្ត។ ការជួសជុលលំហូរដំរីត្រូវបានរំលងបន្ទាប់ពីប្រើពាក្យបញ្ជានេះ។
សម្រាប់ព័ត៌មានបន្ថែមអំពីពាក្យបញ្ជាទាំងនេះ សូមមើល Cisco Secure Firewall Threat Defense Reference។

ការយកចិត្តទុកដាក់

ការធ្វើសកម្មភាពលើលំហូរដំរី (ឆ្លងកាត់ និងបិទលំហូរ) មិនត្រូវបានគាំទ្រនៅលើឧបករណ៍ស៊េរី Cisco Firepower 2100 ទេ។

ជំហានទី 6 នៅក្នុងផ្នែក ច្បាប់លើកលែងសំណង សូមចុច Add Rule ដើម្បីកំណត់រចនាសម្ព័ន្ធ L4 access control list (ACL) សម្រាប់លំហូរដែលត្រូវតែត្រូវបានលើកលែងពីការដោះស្រាយ។
ជំហានទី 7 នៅក្នុងផ្ទាំង Add Rule ប្រើផ្ទាំង Networks ដើម្បីបន្ថែមព័ត៌មានលម្អិតអំពីបណ្តាញ នោះគឺជាបណ្តាញប្រភព និងបណ្តាញគោលដៅ។ ប្រើផ្ទាំង Ports ដើម្បីបន្ថែមច្រកប្រភព និងច្រកគោលដៅ។
ប្រសិនបើលំហូរដំរីត្រូវបានរកឃើញ ហើយវាត្រូវគ្នានឹងច្បាប់ដែលបានកំណត់ ព្រឹត្តិការណ៍មួយត្រូវបានបង្កើតដោយមានហេតុផលថាលំហូរដំរីត្រូវបានលើកលែងនៅក្នុងផ្នែកក្បាលជួរឈរហេតុផលនៃព្រឹត្តិការណ៍តភ្ជាប់។
ជំហានទី 8 នៅក្នុងផ្នែក ច្បាប់លើកលែងសំណង អ្នកអាចធ្វើបាន view លំហូរដែលត្រូវបានលើកលែងពីសកម្មភាពសំណង។
ជំហានទី 9 ចុចយល់ព្រម ដើម្បីរក្សាទុកការកំណត់លំហូរដំរី។
ជំហានទី 10 ចុច រក្សាទុក ដើម្បីរក្សាទុកគោលការណ៍។

អ្វីដែលត្រូវធ្វើបន្ទាប់
ដាក់ពង្រាយការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ; សូមមើលការដាក់ពង្រាយការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ។
បន្ទាប់ពីកំណត់រចនាសម្ព័ន្ធការកំណត់លំហូរដំរីរបស់អ្នក សូមតាមដានព្រឹត្តិការណ៍នៃការតភ្ជាប់របស់អ្នក ដើម្បីមើលថាតើលំហូរណាមួយត្រូវបានរកឃើញ ឆ្លងកាត់ ឬបិទបើក។ អ្នក​អាច view នេះនៅក្នុងវាលហេតុផលនៃព្រឹត្តិការណ៍តភ្ជាប់របស់អ្នក។ ហេតុផលបីសម្រាប់ការតភ្ជាប់លំហូរដំរីគឺ:
• លំហូរដំរី
• Elephant Flowed Throttled
• Elephant Flow Trusted

រូបតំណាងប្រុងប្រយ័ត្ន ការយកចិត្តទុកដាក់ ការបើកការរកឃើញលំហូរដំរីតែម្នាក់ឯងមិនបណ្តាលឱ្យមានការបង្កើតព្រឹត្តិការណ៍តភ្ជាប់សម្រាប់លំហូរដំរីនោះទេ។ ប្រសិនបើព្រឹត្តិការណ៍តភ្ជាប់ត្រូវបានកត់ត្រារួចហើយសម្រាប់ហេតុផលផ្សេងទៀត ហើយលំហូរក៏ជាលំហូរដំរី នោះវាលហេតុផលមានព័ត៌មាននេះ។ ទោះយ៉ាងណាក៏ដោយ ដើម្បីធានាថាអ្នកកំពុងកត់ត្រាលំហូរដំរីទាំងអស់ អ្នកត្រូវតែបើកដំណើរការការកត់ត្រាការតភ្ជាប់នៅក្នុងច្បាប់គ្រប់គ្រងការចូលប្រើប្រាស់ដែលអាចអនុវត្តបាន។

សូមមើល Cisco Secure Firewall Elephant Flow Detection សម្រាប់ព័ត៌មានបន្ថែម។

 

សូមអានបន្ថែមអំពីសៀវភៅណែនាំនេះ និងទាញយក PDF៖

ឯកសារ/ធនធាន

CISCO Elephant Flow Detection [pdf] ការណែនាំអ្នកប្រើប្រាស់
7.4, ការរកឃើញលំហូរដំរី, ការរកឃើញ

ឯកសារយោង

ទុកមតិយោបល់

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានផ្សព្វផ្សាយទេ។ វាលដែលត្រូវការត្រូវបានសម្គាល់ *